App-V 5.1 보안 고려 사항

  • 아티클

업데이트 날짜: 2015년 8월

적용 대상: Application Virtualization 5.1

이 항목에서는 계정 및 그룹에 대한 간략한 개요, 로그 파일, Microsoft Application Virtualization(App-V) 5.1에 대한 기타 보안 관련 고려 사항을 다룹니다.

중요

App-V 5.1은(는) 보안 제품이 아니며 보안 환경에 대한 어떤 보증도 제공하지 않습니다.

PackageStoreAccessControl(PSAC) 기능이 사용되지 않음

2014년 6월부터는 Microsoft Application Virtualization(App-V) 5.0 SP2(서비스 팩 2)에 도입된 PackageStoreAccessControl(PSAC) 기능이 단일 사용자 및 여러 사용자 환경에서 모두 사용되지 않습니다.

일반 보안 고려 사항

보안 위험성을 이해합니다. App-V 5.1의 가장 심각한 위험은 권한 없는 사용자가 기능을 강탈하여 App-V 5.1 Client에서 주요 데이터를 다시 구성할 수 있다는 것입니다. 또한 서비스 거부 공격으로 인해 단기간 동안 App-V 5.1 기능을 손실하게 되면 보통 치명적인 영향을 받습니다.

컴퓨터를 실제로 보호합니다. 실제 보안 조치가 없는 보안은 불완전한 보안입니다. App-V 5.1 Server에 대한 실제 액세스 권한을 보유한 사용자라면 누구라도 전체 클라이언트 기반을 공격할 수 있습니다. 잠재적인 모든 실제 공격은 높은 위험으로 간주되며 적절히 완화시켜야 합니다. App-V 5.1 서버는 액세스 권한이 제어되는 실제로 안전한 서버 룸에 보관해야 합니다. 관리자가 주변에 없는 경우 운영 체제로 컴퓨터를 잠그거나 안전한 화면 보호기를 사용하여 이러한 컴퓨터를 보호하십시오.

모든 컴퓨터에 최신 보안 업데이트를 적용합니다. 보안 알림 서비스(https://go.microsoft.com/fwlink/p/?LinkId=28819)를 구독하여 운영 체제, Microsoft SQL Server 및 App-V 5.1의 최신 업데이트에 대한 정보를 지속적으로 파악하십시오.

강력한 암호 또는 전달 구를 사용합니다. 모든 App-V 5.1 및 App-V 5.1 관리자 계정에 대해 항상 15자 이상의 문자로 구성된 강력한 암호를 사용하십시오. 빈 암호는 사용하지 마십시오. 암호 개념에 대한 자세한 내용은 TechNet(https://go.microsoft.com/fwlink/p/?LinkId=30009)의 "Account Passwords and Policies(계정 암호 및 정책)" 백서를 참조하십시오.

App-V 5.1의 계정 및 그룹

사용자 계정 관리의 모범 사례는 도메인 글로벌 그룹을 만들고 해당 그룹에 사용자 계정을 추가하는 것입니다. 그런 다음 App-V 5.1 Server에서 필요한 App-V 5.1 로컬 그룹에 도메인 글로벌 계정을 추가합니다.

참고

게시 서버에 연결해야 하는 App-V 클라이언트 컴퓨터 계정은 게시 서버 사용자 로컬 그룹의 일부여야 합니다. 기본적으로 도메인의 모든 컴퓨터는 권한이 부여된 사용자 그룹의 일부이며, 이 그룹은 사용자 로컬 그룹의 일부입니다.

App-V 5.1 Server 보안

App-V 5.1 설치 중에 그룹이 자동으로 생성되지 않습니다. 따라서 다음 Active Directory 도메인 서비스 글로벌 그룹을 만들어 App-V 5.1 Server 작업을 관리해야 합니다.

그룹 이름 세부 정보

App-V Management 관리 그룹

App-V 5.1 Management Server를 관리하는 데 사용됩니다. 이 그룹은 App-V 5.1 Management Server 설치 중 생성됩니다.

중요

설치를 완료한 후에는 관리 콘솔을 사용하여 그룹을 만들 수 있는 방법이 없습니다.

관리 서비스 계정에 대한 데이터베이스 읽기/쓰기 권한

관리 데이터베이스에 대한 읽기/쓰기 액세스를 제공합니다. 이 계정은 App-V 5.1 관리 데이터베이스 설치 중 만들어야 합니다.

App-V Management Service 설치 관리자 계정

참고

관리 데이터베이스를 관리 서비스와 별도로 설치하는 경우에만 필요합니다.

관리 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스 권한을 제공합니다. 이 계정은 App-V 5.1 관리 데이터베이스 설치 중 만들어야 합니다.

App-V 보고 서비스 설치 관리자 계정

참고

보고 데이터베이스를 보고 서비스와 별도로 설치하는 경우에만 필요합니다.

보고 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스 권한을 제공합니다. 이 계정은 App-V 5.1 보고 데이터베이스 설치 중 만들어야 합니다.

다음과 같은 추가 정보를 고려하십시오.

  • 패키지 공유에 대한 권한 - 관리 서버와 동일한 컴퓨터에 공유가 있는 경우 네트워크 서비스에는 공유에 대한 읽기 권한이 있어야 합니다. 또한 각 App-V 클라이언트 컴퓨터에도 패키지 공유에 대한 읽기 권한이 있어야 합니다.

    참고

    이전 버전의 App-V에서는 패키지 공유의 명칭이 콘텐츠 공유였습니다.

  • 관리 서버에 게시 서버 등록 - 관리 서버에 게시 서버를 등록해야 합니다. 예를 들어 게시 서버 컴퓨터 계정에서 관리 서비스 API를 호출할 수 있도록 데이터베이스에 게시 서버를 추가해야 합니다.

App-V 5.1 패키지 보안

다음 정보를 통해 가상화된 패키지를 안전하게 유지하는 방법을 쉽게 계획할 수 있습니다.

  • 응용 프로그램 설치 관리자에서 파일 또는 디렉터리에 ACL(액세스 제어 목록)을 적용하는 경우 ACL은 패키지에서 유지되지 않습니다. 패키지를 배포할 때 사용자가 파일 또는 디렉터리를 수정하는 경우 **%userprofile%**의 ACL을 상속하거나 대상 컴퓨터의 디렉터리 ACL을 상속합니다. 파일 또는 디렉터리가 가상 파일 시스템 위치에 없는 경우 전자와 같은 상황이 발생하고, 파일 또는 디렉터리가 가상 파일 시스템 위치(예: %windir%)에 있는 경우 후자와 같은 상황이 발생합니다.

App-V 5.1 로그 파일

App-V 5.1 설치 중 설치하는 사용자의 %temp% 폴더에 설치 로그 파일이 생성됩니다.

App-V에 대한 제안 사항이 있으신가요?

여기에서 제안 사항을 추가하거나 투표해 보세요. App-V 문제가 있는 경우 App-V TechNet 포럼을 사용하세요.

참고 항목

기타 리소스

App-V 5.1용 환경 준비

-----
TechNet 라이브러리에서 MDOP에 대해 자세히 알아보거나 TechNet 위키에서 문제 해결을 검색하거나 Facebook 또는 Twitter에서 Microsoft를 팔로우할 수 있습니다.
-----